Beruflich Dokumente
Kultur Dokumente
Alexandre Lemke1, Vagner Santos1 1Programa de Graduao em Cincia da Computao Universidade Catlica de Pelotas Rua Flix da Cun a! "1# $%&1&'&&& Pelotas R( )rasil
alemke@ufpel.edu.br, vagkid@yahoo.com.br
1. Introdu o
*este tra+al o a+ordaremos a ,erramenta (nort! com excelente -ualidade e e,icincia tanto -uanto os softwares comerciais de mesma categoria! citando conceitos e o+.etivos desta ,erramenta! tam+m mencionaremos seus princ/pios de ,uncionamento! sua ar-uitetura! descrio de suas principais ,uncionalidades e casos de uso0 1 deteco de 2ntruso uma 3rea de grande expanso! pes-uisa e investimento na segurana em redes de computadores0 *o crescimento da interconexo de computadores em todo o mundo veri,icado um conse-uente aumento nos ata-ues na internet! gerando uma complexidade elevada para a capacidade dos mecanismos de preveno0 Para maioria das aplica4es atuais! desde redes corporativas simples at sistemas de e'commerce ou aplica4es +anc3rias! praticamente invi3vel a utili5ao de simples mecanismos -ue diminuam a possi+ilidade de ata-ues eventuais0 Um ata-ue ,ora pode causar interrup4es totais dos servios para -ue um lento e oneroso processo de auditoria e de restaurao manual posterior se.a ,eito! .usti,icando o investimento ,eito visando a criao de mecanismos -ue garantem aos sistemas um ,uncionamento correto mesmo na presena de ,al as de segurana! principal o+.etivo dos c amados (istemas de 6eteco de 2ntruso 726( ' 2ntrusion 6etection (8stems90 6e,inimos 26( como uma ,erramenta inteligente e capa5 de detectar tentativas de invaso em tempo real0 : 26( um sistema de con,igura4es e regras -ue tem como o+.etivo gerar alertas -uando detectar pacotes -ue possam ,a5er parte de um poss/vel ata-ue0
!. "b#et$%os
;uitas pessoas se enganam pensando -ue uma ve5 -ue ,erramentas de segurana 7firewalls! antiv/rus! 26(! etc9 ten am sido instaladas! no mais necess3ria a reali5ao de testes para veri,icar sua e,icincia0 <ste um grande erro! mas muito comum nos dias atuais0 =endo em vista -ue todos os dias novas vulnera+ilidades so desco+ertas e pu+licadas em sites especiali5ados em segurana! em listas de discusso hackers, a simples instalao de uma ,erramenta de segurana por mais so,isticada -ue se.a! no garante a total proteo esperada0 2sso pode acontecer por v3rios motivos! desde uma m3 con,igurao da ,erramenta! a no atuali5ao das assinaturas de ata-ues disponi+ili5adas pelo ,a+ricante da ,erramenta ou mesmo por bugs no prprio software deixando +rec as -ue pode ser exploradas0 <xistem v3rias tcnicas utili5adas para se analisar a segurana da rede0 <ntre elas podemos destacar a an3lise de vulnera+ilidades! an3lise de logs! an3lise de integridade e o c amado pen-test 7teste de penetrao90 <ste >ltimo! consiste na reali5ao de testes de ,orma intrusiva -ue vo colocar a prova a estrutura de segurana da rede! com o o+.etivo de encontrar +rec as e vulnera+ilidades em servios ou sistemas para serem corrigidos antes -ue possam ser explorados0 Um sistema computacional dever3 prover con,idncia! integridade e garantia contra negao de servios! mas o aumento da conectividade e a grande -uantidade de aplica4es ,inanceiras executadas na 2nternet criam um cen3rio propenso a intrus4es -ue tentam explorar ,al as do sistema operacional e tam+m em programas aplicativos espec/,icos0 Pro.etar e implementar um sistema completamente seguro ainda uma realidade distante e migrar a +ase de sistemas instalados para um estado con,i3vel tomaria muito tempo0 :s mtodos de criptogra,ia possuem seu prprios pro+lemas e podem ser -ue+rados0 (istemas vulner3veis -ue podem ser atacados a -ual-uer momento e a desco+erta deve ocorrer o mais cedo poss/vel! pre,erencialmente em tempo real0 ? isso -ue um sistema de deteco de intruso +asicamente ,a50 @uando um ata-ue desco+erto! um 26( age como um in,ormante e no utili5a medidas preventivas0 : 26( automati5a a tare,a de analisar estes dados de log -ue so extremamente >teis pois podem ser usados para esta+elecer a culpa+ilidade do atacante e so ,re-Aentemente o >nico modo de desco+rir uma atividade sem autori5ao! detectar a extenso dos danos e prevenir tal ata-ue no ,uturo! tornando desta ,orma o 26( uma ,erramenta extremamente valiosa para an3lises em tempo real e tam+m aps a ocorrncia de um ata-ue0 1s intrus4es podem ser classi,icadas em seis tipos principaisB
=entativas de arrom+arC 1ta-ues mascaradosC Penetrao do sistema de controle de seguranaC Da5amentoC *egao de servioC Uso malicioso0
=odos este tipos de intruso podem ser monitorados pela an3lise dos per,is de comportamentos at/picos! viola4es de regras de segurana! padr4es espec/,icos de atividades! uso de recursos dos sistemas ou uso de privilgios especiais0
Com o advento da 2nternet! as redes de computadores tornaram'se uma grande mal a -ue agrega mil ares de m3-uinas e empresas interconectadas! reali5ando desde simples troca de e'mail a transa4es econEmicas0 ? um c amari5 consider3vel a intrusos! visto -ue! a segurana destes sitesF redes comeou a ser encarada com a importGncia necess3ria somente aps in>meros incidentes colocarem em risco a -ualidade dos servios e a competncia dos administradores0 1 necessidade de existir um monitoramento mais e,iciente e ininterrupto das atividades pertinentes a uma rede ,e5 com -ue surgissem programas denominados 26( 72ntrusion 6etection (8stem ' (istema de 6eteco de 2ntrusos9! respons3veis por monitorar as tentativas de ata-ues -ue eram lanadas contra uma rede e gerar ar-uivos com as ocorrncias diagnosticadas0 (nort uma ,onte a+erta de preveno de intrus4es de rede e sistema de deteco 726( F 2P(9! desenvolvido por (ource,ire0 Com+inando os +ene,/cios de assinatura! protocolo e anomalia de inspeo +aseada! (nort o mais amplamente implantada 26( F 2P( mundial de tecnologia0 Com mil 4es de doHnloads e mais de #I&0&&& usu3rios registrados! (nort tornou'se o padro de ,ato para a 2P(0
: (nort monitora o tr3,ego de pacotes em redes 2P! reali5ando an3lises em tempo real so+re diversos protocolos 7n/vel de rede e aplicao9 e so+re o conte>do 7 exa e 1(C2290 :utro ponto positivo desse so,tHare o grande n>mero de possi+ilidades de tratamento dos alertas gerados0 : su+sistema de registro e alerta selecionado em tempo de execuo atravs de argumentos na lin a de comando! so trs op4es de registro e cinco de alerta0 : registro pode ser con,igurado para arma5enar pacotes decodi,icados e leg/veis em uma estrutura de diretrio +aseada em 2P! ou no ,ormato +in3rio do tcpdump em um >nico ar-uivo0 Para um incremento de desempen o! o registro pode ser desligado completamente! permanecendo os alertas0 L3 os alertas podem! ser enviados ao s8slog! registrados num ar-uivo de texto puro em dois ,ormatos di,erentes! ou ser enviados como mensagens MinPopup usando o sm+client0 :s alertas podem ser enviados para ar-uivo texto de ,orma completa e o alerta r3pido0 : alerta completo escreve a mensagem de alerta associada K regra e a in,ormao do ca+eal o do pacote at o protocolo de camada de transporte0 1 opo de alerta r3pido escreve um su+con.unto condensado de in,ormao do ca+eal o alerta0 Por ,im! uma >ltima opo desa+ilita os alertas completamente0<xiste tam+m! a possi+ilidade de utili5ar mtodos como o 6ata+ase Plug'in por exemplo! para registrar pacotes em uma variedade de +ases de dados di,erentes 7;8(@N! Postgre(@N! entre outros9! as -uais contam com recursos prprios para e,etuar consultas! correla4es e disp4em de mecanismos de visuali5ao para analisar dados0 : Snort um sistema de deteco de invaso +aseado em rede! de cdigo ,onte a+erto0 ? um 26( +aseado em assinaturas -ue usa regras para veri,icar a existncia de pacotes com in,orma4es -ue podem indicar a ocorrncia do ata-ue0 Regras so um con.unto de re-uisitos -ue gerariam um alerta0 : Snort possui muitos recursos entre os -uais podemos citar! um ,are.ador de pacotes para a captura dos dados! um mecanismo de registro de pacotes e de deteco de invaso0 <le tam+m pode ser con,igurado para enviar alertas em tempo real evitando assim a necessidade de monitorar o sistema continuamente0 : Snort considerado um (62 leve! por possuir uma pegada pe-uena e ser um so,tHare multiplata,orma dispon/vel para sistema (olaris! Ninux! sistemas )(6! OP'UP! 2R2P e MindoHs0 Foram adicionadas muitas outras ,uncionalidades ao so,tHare como um mecanismo de pr' processamento para a classi,icao dos pacotes! +em como plugins! -ue permitem arma5enar os resultados das an3lises reali5adas em +anco de dados como ;8(@N e Postgres0 1umentaram tam+m o n>mero de regras para deteco de novos ata-ues -ue so atuali5adas constantemente pela comunidade e disponi+ili5adas para download no site do so,tHare 7HHH0snort0org90 (egundo CasHell et al0 7#&&Q9! a ar-uitetura do Snort composta por -uatro componentes +3sicosB ' : ,are.adorC ' : pr'processadorC ' : mecanismo de detecoC ' 1lertaFregistro0
: pr'processador e o mecanismo de alerta so todos compostos por plug-ins10 -ue ,oram separados do cdigo +ase para tornarem as modi,ica4es ao cdigo ,onte mais ,3ceis e con,i3veis0 1 Figura #& mostra uma viso da ar-uitetura do (nort0
: Snort ,a5 uso de uma +i+lioteca c amada libcap para reali5ar a captura dos pacotes0 <sta +i+lioteca alm de capturar os dados destinados K prpria m3-uina! capa5 de rece+er os pacotes destinados a outras m3-uinas dentro do mesmo segmento de rede0 (egundo CasHell 7#&&Q9! a +i+lioteca libcap ,oi escrita como parte de um programa maior c amado TCPDump0 <la ,oi aproveitada pelos desenvolvedores para criar um cdigo capa5 de rece+er os pacotes da camada dois do modelo =CPF2P! ou se.a diretamente das placas de rede! livrando'se assim da idiossincrasia das placas de rede e dos di,erentes drivers dos sistemas operacionais0
Uma ve5 rece+idos os pacotes +rutos da placa de rede pela libcap! esta repassa os pacotes capturados para os mecanismos de decodi,icao do Snort0 6urante o processo de decodi,icao! o Snort liga os dados +rutos Ks estruturas de dados mantidos na memria! para posteriormente serem analisados pelos pr'processadores e mecanismos de deteco0 "0# Pr'processadores :s plug-ins de pr'processadores no Snort! so respons3veis pela classi,icao dos dados capturados pelo ,are.ador de pacotes0
6e acordo com CasHell et al0 7#&&Q9! este componente pega os pacotes +rutos e veri,ica em relao a certos plug-ins! como um plug-ins de RPC ou portscan determinando assim o
comportando do pacote analisado0 Uma ve5 detectada o comportamento particular do pacote! o mesmo encamin ado para o mecanismo de deteco0 1 grande vantagem de tra+al ar com plugins! a possi+ilidade de ativar e desativar alguns deles de acordo com anecessidade e o per,il da rede onde o 26( est3 sendo con,igurado0 1 Figura #Q mostra o es-uema de ,uncionamento de um pr'processador0
"0Q ;ecanismo de deteco (egundo CasHell et al0 7#&&Q9! esta a parte mais importante do (620 :s dados vindos do mecanismo de pr'processamento so rece+idos pelo mecanismo de deteco e comparados com um con.unto de regras de assinatura de ata-ues con ecidos0 Uma ve5 -ue os dados dos pacotes correspondam com as in,orma4es de alguma regra! estes so enviados para o processador de alerta0 : Snort tem um grande +anco de dados de regras -ue so agrupadas por categorias! como por exemplo! cavalos de =ria! trans+ordamento de buffer! ata-ues Den of Service! entre outros0 <stas regras so atuali5adas regularmente e disponi+ili5adas para download no site do programa0
"0" Componente de alertaFregistro @uando os dados -ue passam pelo mecanismo de deteco correspondem com alguma regra! ento um alerta disparado pelos plug-ins de sa/da0 (egundo CasHell et al07#&&Q9! os plug-ins de sa/da ,ornecem aos administradores a capacidade de con,igurar logs e alertas de maneira ,3cil de entender! ler e usar no am+iente de suas empresas0 1 an3lise de ,luxo seria in>til sem eles para processar! ,ormatar os dados analisados0 :s alertas podem ser enviados para um ar-uivo de log atravs de uma conexo de rede! atravs de so-uetes U*2P ou MindoHs Popup 7(;)9 e tam+m podem ser arma5enados em +anco de dados0 <xistem muitas ,erramentas adicionais -ue podem ser utili5adas para tratar os dados de sa/da do Snort como plug-ins Perl! POP! alm de servidores !eb para exi+ir os dados processados0
:s plug-ins de sa/da! geralmente di,erem dos outros componentes do (nort! pois no existe um ponto >nico de entrada para ele0 D3rios componentes do Snort os utili5am em est3gios di,erentesB ':s mecanismos de decodi,icao pacotes os usam para gerar sa/da no ,ormato de cdigo 1(C22 entre outrosC 'R: pr'processador usar3 os plug-ins de sa/da para alertar so+re eventosC 'R: mecanismo de deteco os usar3 para alertar e registrar ocorrncias de ata-ues0 <m geral os plug-ins de sa/da podem ser considerados complementos de produto! pois eles podem ser escritos por -ual-uer um e inclu/dos dentro do Snort durante a compilao e re,erenciados atravs os dos ar-uivos de con,igurao do programa0
/. Ferramenta Snort
: (nort necessita de alguns complementos como ;8(@N! doHnload das regras! um diretrio de registro 7log9 e lin as de comando0
Disuali5ao de logs na ,erramenta (nort0 1 Criao de Regras no (nort o+edece a um ,ormato ou modelo pr'esta+elecidoB StipoTdeTalertaU SprotocoloU SredeTorigemU SportaTorigemU 'U SredeTdestinoU SportaTdestinoU 7Ca+eal o da RegraC :p4esC sidBPC0009C <xemplo de criao de regras para o (V8peB 1 primeira regra detecta uma conexo na porta tcpFQQ&QQB alert tcp an8 an8 'U an8 QQ&QQ 7,lagsB P1C sidB1#Q"W1#C priorit8B$C msgBJ=entativa de Conexao ao (V8peJC9 1 segunda regra detecta o envio de uma consulta 6*( a um su+dom/nio do (V8pe0 alert udp an8 an8 'U an8 WQ 7msgBJConsulta 6*( ao (V8peJC priorit8B$C contentB JX&WXsV8peJC dept B W&C sidB1#Q"W1QC revB1C9
Podemos visuali5ar na imagem a+aixo o (nort capturando uma uma conexo ao (V8pe0
7. Con(lus o
: snort e,iciente mas com pouca inter,ace gr3,ica para o usu3rio comum e depende de pessoas dispostas a desenvolver novas tcnicas de deteco0 : +om -ue tem diversas pessoas -uali,icadas na comunidade snort -ue podem resolver o pro+lema0 Possui Flexi+ilidade na con,igurao de regras e constante atuali5ao de regras de deteco0 1lgumas grandes empresas como a )icrosoft e a *ntel utili5am a ,erramenta0
8. Re1er9n($as
C1(M<NN! )rian et al0 Snort !2 (istema de deteco de intruso0 Rio de LaneiroB 1lta )ooVs! #&&Q0
http://www.snort.org/
ttpBFFHHH0snort0com0+r
http://www.snort.org.br/ http://www.softwarelivre.gov.br/noticias/snort-ferramenta-livre-garante-seguranca-na-redeserpro/ http://www.snort.org.br/arquivos/Monografia-pedro.pdf http://www.winsnort.com/ http://www.intruders.com.br/artigos/snoc_criando_regras_snort_v02.pdf http://www.ginux.ufla.br/files/mono-Bruno antos.pdf